xz-Hintertür: 5 Lektionen
13.04.2024
Ingenieurwesen
CVE-2024–3094 — auch bekannt als xz-backdoor oder xz-trojan — ist der bisher besorgniserregendste Angriff auf die Software-Lieferkette.
Ein Entwickler, der als Jia Tan (Github JiaT75) identifiziert wurde, verwendete Social Engineering, um in das Open-Source-Projekt Tukaani einzutreten und gewann über die nächsten Jahre das Vertrauen der Community.
Jia erhielt schließlich den Wartestatus für das XZ-Utils Projekt.
Schließlich nutzte Jia seinen Status, um geschickte Verschleierung im Quellcode und in Binärdateien einzuführen, um eine Hintertür in den Versionen 5.6.0 und 5.6.1 von XZ-Utils zu schaffen. Hätte dies bis zur Integration mit den Hauptdistributionen unentdeckt geblieben, könnten Millionen von Debian- und Red Hat-Versionen betroffen gewesen sein.
Eine gut geschriebene Zeitachse der Ereignisse ist hier veröffentlicht.